آسیب پذیری Shellshock یا Bash Bug در Mail Server ها

کارشناسان لینوکس شرکت های سیسکو و اوراکل در حال بررسی محصولات و توزیع های خود به منظور یافتن آسیب پذیری Shellshockمی باشند. ای آسیب پذیری به هکر ها اجازه می دهد که با نفوذ به Bash و یا همان ترمینال لینوکس دستورات دلخواه خود را استفاده کنند و سرویس های خاص و حیاتی را در کنترل خود بگیرند.

این آسیب پذیری در 71 محصول سیسکو شناسایی شده است و این شرکت نیز این موضوع را تایید کرده است. البته آسیب پذیری shellshock بر روی سیستم عامل لینوکس نیز سر و صدای زیادی ایجاد کرد که باعث می شد نفوذ به Bash لینوکس برای محاجمان راحت شود. در حقیقت shellshock یک نوع از بدافزار های Backdoor است که باعث می شود Arbitrary Code Execution بر روی سیستم قربانی اتفاق بیفتد که همان دستورات مخرب می باشد.یکی از مهمترین راه هایی که محاجمان غیر قانونی برای این نوع Attack استفاده می کنند آلوده کردن ایمیل های کاربران می باشد. ابتدا Attacker یک Malicious Shellshock Code که حاوی Payload مخرب Shellshock می باشد در داخل ایمیلی که می خواهد به کاربران شبکه مورد نظر ارسال کند embed میکند. این کد مخرب در داخل قسمت های Subject ، To ، From و CC توسط محاجم embed می شود و سپس محاجم ایمیل را برای سرور SMTP شبکه مورد نظر ارسال می کند و بعد از اجرا شدن این کد مخرب ، محاجم می تواند به شبکه و سیستم ها دسترسی پیدا کند.

این آسیب پذیری بر روی سرور های میل qmail ، exim و postfix موجود می باشد.

سپس SMTP Server آلوده به URL هایی با فرمت زیر متصل میشود و IRC Bot ها که مجموعه ای از Script ها هستند را دانلود می کنند. سپس SMTP Server با استفاده از پورت های 6667 ، 3232 و 9999 به IRC Server مربوطه متصل می شود و Attacker با استفاده از همان IRC Bot های دانلود شده میتواند کار هایی از قبیل ارسال ایمیل ، حملات DDOS ، اسکن کردن پورت ها و دستورات Unix-Based بر شبکه وسیستم ها و سرور های قربانی انجام دهد. کشور های تایوان ، آلمان ، آمریکا و کانادا کشورهایی هستند که بیشترین حملات از این نوع را دارند.